Citrix Bleed 2 漏洞（CVE-2025-5777）疑似遭积极利用：ReliaQuest 发布紧急警报

据网络安全公司 ReliaQuest 披露Citrix NetScaler ADC 和网关的关键漏洞“Citrix Bleed 2”CVE-2025-5777目前很可能已被攻击者利用Citrix 设备上的可疑会话数量明显增加。Import a Citrix Gateway | StoreFront™ 2203Citrix Bleed 2 漏洞详解该漏洞由网络安全研究员 Kevin Beaumont 命名因其与 2023 年的原始 Citrix BleedCVE-2023-4966高度相似属于内存读取类漏洞。未经身份验证的攻击者可借此访问设备中通常受保护的内存区域从而窃取面向公众的网关和虚拟服务器上的会话令牌、凭据及其他敏感数据最终实现用户会话劫持并绕过多因素身份验证MFA。Citrix 官方顾问已确认风险并强烈建议用户立即安装安全更新同时终止所有可能被劫持的 ICA 和 PCoIP 会话。Responding to CitrixBleed (CVE-2023-4966): Key Takeaways from Affected Companies攻击利用证据Citrix 已于 2025 年 6 月 17 日发布补丁修复 CVE-2025-5777当时并无活跃利用报告。但 ReliaQuest 通过对近期真实攻击的分析认为攻击者正在积极利用该漏洞获取目标环境的初始访问权限。主要迹象如下被劫持的 Citrix Web 会话在无用户交互的情况下直接获得身份验证表明攻击者使用窃取的会话令牌绕过了 MFA同一 Citrix 会话在合法 IP 与可疑 IP 间反复出现显示典型的会话劫持与重放行为访问后立即发起 LDAP 查询表明攻击者正在进行 Active Directory 侦察映射用户、组和权限系统上同时运行多个 adeexplorer64.exe 实例显示对多个域控制器的协调侦察尝试Citrix 会话源自与消费者 VPN 提供商如 DataCamp关联的数据中心 IP表明攻击者通过匿名基础设施隐藏真实来源。这些行为与利用 Citrix 漏洞后的典型后续攻击链完全一致进一步印证了 CVE-2025-5777 已被实际利用。立即防护措施受影响的用户应尽快升级到以下修复版本14.1-43.56 及更高版本13.1-58.32 及更高版本13.1-FIPS/NDcPP 13.1-37.235 及更高版本升级后管理员必须立即终止所有活动 ICA 和 PCoIP 会话它们可能已被劫持。终止前请先执行以下命令检查可疑活动show icconnection在 NetScaler Gateway PCoIP Connections 中查看确认后可使用以下命令终止所有连接kill icconnection -allkill pcoipconnection -all若暂时无法升级建议立即通过网络 ACL 或防火墙规则限制外部对 NetScaler 的访问。Access Control List (ACL)Citrix 官方回应在被问及 CVE-2025-5777 是否被积极利用时Citrix 表示尚未发现任何利用迹象。但同一模块中的另一个漏洞 CVE-2025-6543 已被确认在真实攻击中利用可能导致 NetScaler 设备出现拒绝服务DoS情况。建议拥有 NetScaler ADC / Gateway 环境的组织请立即检查版本并应用补丁同时加强会话监控以最大限度降低风险。安全更新是当前最有效的防护手段。